一場互聯(lián)網(wǎng)領(lǐng)域的“生化危機(jī)”正在全球上演。令人不安的情況仍在繼續(xù)：WannaCry病毒還在擴(kuò)張自己的領(lǐng)地。這大概是世界上成名最快的一款互聯(lián)網(wǎng)程序，從5月12日開始，在短短24小時(shí)內(nèi)，由于罕見的傳播速度以及嚴(yán)重的破壞性，勒索病毒W(wǎng)annaCry已經(jīng)成為全球關(guān)注的焦點(diǎn)。

勒索病毒侵襲全球 互聯(lián)網(wǎng)世界上演“生化危機(jī)”

　　2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。目前已經(jīng)波及99個(gè)國家。在WannaCry攻城拔寨的傳播過程中，5月13日晚間，由一名英國研究員于無意間發(fā)現(xiàn)的WannaCry隱藏開關(guān)（KillSwitch）域名，意外的遏制了病毒的進(jìn)一步大規(guī)模擴(kuò)散。

　　獲知此消息的云縱首席科學(xué)家及研發(fā)副總裁鄭昀忍不住在微博感嘆，“這個(gè)事件從頭到尾都像是一部電影，開始的離奇，結(jié)束的詭異?！钡虑檫h(yuǎn)未結(jié)束，現(xiàn)實(shí)證明KillSwitch的發(fā)現(xiàn)只是一個(gè)插曲。

　　5月14日，在停止開關(guān)被發(fā)現(xiàn)18小時(shí)后，國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布新變種預(yù)警：WannaCry2.0即將來臨；與之前版本的不同是，這個(gè)變種取消了KillSwitch，不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。截至14日10時(shí)30分，國家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測到約242.3萬個(gè)IP地址遭受“永恒之藍(lán)”漏洞攻擊；被該勒索軟件感染的IP地址數(shù)量近3.5萬個(gè)，其中中國境內(nèi)IP約1.8萬個(gè)。同時(shí)，由于WannaCry大規(guī)模爆發(fā)于北京時(shí)間上周五晚8點(diǎn)，國內(nèi)還有大量政企機(jī)構(gòu)網(wǎng)絡(luò)節(jié)點(diǎn)尚在關(guān)機(jī)狀態(tài)。因此，今日周一開機(jī)已經(jīng)是一場安全考驗(yàn)。

　　新的危險(xiǎn)正在步步逼近，而人們目前對(duì)WannaCry病毒本身所知依然有限。

　　神秘謎團(tuán)

　　WannaCry的傳播路徑是個(gè)謎團(tuán)，互聯(lián)網(wǎng)安全廠商們?nèi)詿o法確切還原。病毒最先在英國大規(guī)模爆發(fā)，影響范圍波及醫(yī)療體系，一些手術(shù)被迫中止。國內(nèi)，在病毒感染數(shù)據(jù)達(dá)到被監(jiān)測機(jī)構(gòu)注意到的閾值之前，首先讓外界注意到這一病毒的，是國內(nèi)社交網(wǎng)絡(luò)上不少大學(xué)生反映學(xué)校網(wǎng)絡(luò)故障的言論。

　　5月12日，多個(gè)高校發(fā)布了關(guān)于連接校園網(wǎng)的電腦大面積中勒索病毒的消息，一位來自桂林電子科技大學(xué)的同學(xué)對(duì)記者證實(shí)，該校某創(chuàng)新實(shí)驗(yàn)基地幾百臺(tái)電腦由于受到勒索病毒的攻擊，已經(jīng)陷入癱瘓。感染范圍很快從校園網(wǎng)蔓延出去，根據(jù)統(tǒng)計(jì)，國內(nèi)包括校園網(wǎng)用戶、機(jī)場、銀行、加油站、醫(yī)院、警察、出入境等事業(yè)單位都受到了攻擊并且中毒。騰訊安全團(tuán)隊(duì)在溯源中發(fā)現(xiàn)，病毒爆發(fā)是在校園網(wǎng)用戶里，但從哪開始不詳。獵豹移動(dòng)安全專家李鐵軍則表示，病毒的來源和傳播路徑目前沒有結(jié)論，什么時(shí)間潛伏進(jìn)內(nèi)網(wǎng)的，都需要更多研究來分析。

　　好消息一度在病毒大肆傳播24小時(shí)后傳出，12日晚間8點(diǎn)多，有消息稱WannaCry被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法，這一消息隨后得到國內(nèi)多家安全廠商的證實(shí)。

　　被意外發(fā)現(xiàn)的KillSwitch同樣是個(gè)謎團(tuán)。沒人能回答病毒作者因何為WannaCry設(shè)置了停止開關(guān)，安全專家們只能給出如下推測：可能是編碼錯(cuò)誤，也可能是作者沒想到；可能源于作者擔(dān)心病毒無克制傳播?？傊?，沒有定論。KillSwitch是WannaCry眾多謎團(tuán)中的一個(gè)，同樣讓人感到困惑的，還有WannaCry的勒索行為本身。病毒被傳播后，繳納贖金的人數(shù)在持續(xù)增長，根據(jù)騰訊安全團(tuán)隊(duì)提供的數(shù)據(jù)，截至5月13日晚間，全球共有90人交了贖金，總計(jì)13.895比特幣，價(jià)值超過14萬，到了5月14日下午四點(diǎn)半，繳納贖金的人數(shù)增長至116人。

　　盡管目前安全專家們?nèi)晕凑业浇饷懿《靖腥疚募姆椒?，但互?lián)網(wǎng)安全專家們堅(jiān)持建議受感染用戶不要繳納贖金。原因在于，“WannaCry的勒索行為似乎無法構(gòu)成一個(gè)完整的業(yè)務(wù)回路，”反病毒引擎和解決方案廠商安天實(shí)驗(yàn)室創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光介紹，在繳納贖金解密文件這個(gè)問題上，“我們的判斷和網(wǎng)上的傳聞（繳納贖金成功解密）有出入，即支付了贖金也無法解密。因?yàn)槊總€(gè)用戶都是個(gè)性化的密鑰，意味著受害人需要向攻擊者提供標(biāo)識(shí)身份的信息?！倍鴮?shí)際上受害者在繳納贖金的過程中無法提供標(biāo)識(shí)身份的信息，因此，這意味著即使受害者交了贖金，依然無法獲得解密。

　　對(duì)于這種情況，肖新光分析原因可能在于“我們的分析過程中不夠縝密”。但騰訊安全團(tuán)隊(duì)得出了同樣的結(jié)論：經(jīng)驗(yàn)證，交錢的過程，作者并沒有核實(shí)受害者的邏輯，只是收了錢，并沒有幫忙解密。這顯然并非巧合。肖新光給出另外兩種可能的推測：“或者可能是作者根本就沒有想解密；還有一種可能是，這是事件本身不是以勒索為目的，而是以勒索者的表現(xiàn)達(dá)到其他目的?！?/p>

　　一個(gè)謎團(tuán)接著另一個(gè)謎團(tuán)，解開它們是戰(zhàn)勝WannaCry的關(guān)鍵。